Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

BTC 2024-01-08 44

摘要:上图是14号下午5点过事件发生之后雪儿从Venus平台上截的图,可以看到当时BTCB(BTC跨链映射到BSC上的名称)的流动性只剩下1318美金,已经被掏空了,ETH当时还有548万美金,也所剩无几。...

这两天接连出现了两起非法所得巨额资金被退回的事件。

一件是一位矿友通过OKEX交易所转了一笔20万USDT的款给合作伙伴,结果转错到别人的地址上去了;另外一件就是前天轰动币圈的Venus平台差点被撸走1亿羊毛的事情。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

当然我们已经知道这两件事结果都被圆满解决,最终

财归原主

。但是从事件发展的过程看,中间一定都经历了许多曲折,当事人也一定经受了一段时间的煎熬。

从一些社群中我们看到很多同学的思考和总结,这可能是这样的意外事件带给我们最大的收获吧。

今天我们就一起来弄清楚这些事故发生的原因,以及给带给我们的启示。

第一件事其实比较简单,是因为当事人转错账导致,而意外收到20万U(相当于100多万软妹子)的同学在惊喜之后,迅速进行了提币到其他交易所并购买成ETH,然后提到个人钱包的操作。

当然遭受损失的付款人和没有收到款的合伙人采用了一些手段,比如收集到对方的联系方式,估计也向收到意外之财的兄弟施加了一些压力,最终对方还是把20万USDT转回给了付款者,然后付款者也付了2万人民币作为酬谢。

从结果上看还是比较圆满。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

第二件事就比较复杂了,引起的轰动也要大很多。

整个事件总结一下就是14号中午有人在币安智能链BSC上最大的借贷平台 Venus 中用4.5亿个CAN做抵押,借走了价值1个多亿美金的3000个BTC和7000个ETH,导致 Venus 平台上的BTC和ETH资产基本被掏空。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

上图是14号下午5点过事件发生之后雪儿从Venus平台上截的图,可以看到当时BTCB(BTC跨链映射到BSC上的名称)的流动性只剩下13.18美金,已经被掏空了,ETH当时还有5.48万美金,也所剩无几。

下图是每晚币看更早一点时候的截图,发在微博上的时间是下午三点过,当时BTCB的流动性还有2.66万美金。

而那天平台上BTCB的存款总共是将近1.32亿美金,ETH存款总金额是3000万美金。

也就是说到雪儿截图的时候,被人借走的BTC是1.31亿美金,还有2995万美金ETH。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

这个数据跟社群中很多同学统计的数据不太符合,估计这些借出的BTC和ETH中并非全部都是CAN的事件中被借出的,可能有些是其他人的正常借贷。

上面就是事件的基本情况,接下来我们要来聊的是

平台上的币被借走,跟普通用户有什么关系,为什么用户会那么紧张?

直接原因是这些BTC和ETH都是用户的,是他们存款在Venus平台上,那么如果这些币被当做羊毛撸走了,就意味着用户的钱被撸走了。当然责任肯定不在用户身上,但是因为池子里面没有流动性,那么用户要提出自己的存款当然也就提不出来了。

就像银行没钱,你存在银行的钱也提不出来一个道理。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

上图是昨当天下午Venus电报群里的用户聊天,大家其实都不知道这个CAN是个什么来头,对一个谁都不知道的新币怎么可以借出这么多最值钱的币来,大家也是一头雾水。

但是他们担心的是这么多的BTC被借出去,自己的存款会提不出来。

造成这种情况的一个直接原因,是类似的点对点借贷平台的其中一个设计原理,就是借贷池子中的流动性(可以直接理解为资金,比如BTC, ETH, USDT等数字资产)绝大部分是由用户提供,方式就是向平台存款获取利息。

而借款的人是通过向池子的智能合约进行借贷,虽然存款人和借款人之间没有直接的接触,但是他们之间的关系本质上就是债权人和债务人的关系,只不过这种债权和债务关系都是转而与平台的智能合约进行缔结。

其实相当于智能合约提供了借贷人之间的担保。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

虽然有这一层担保关系,但是用户必然也会担心,因为钱是自己的,如果借款人不归还借款,借出去的钱追不回来,智能合约(确切地说是平台)也真的没钱可赔,那么平台上就只剩下一堆没有价值的垃圾币CAN, 损失还得用户自己承担。

以上我们说清楚了第一个问题:平台上的BTC被借空跟存款的用户有什么关系。

接下来说第二个相关的问题,也是这件事中最重要的一个因素:这样的事为什么会发生?

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

这得从去中心化借贷平台的另一个机制:借贷抵押说起。

其实这是从传统金融中借鉴过去的思路,我们从银行贷款都需要拿出值钱的东西做抵押。一般来讲如果没有流动性好的抵押品,普通人是无法从银行借到款的。

目前去中心化的借贷平台绝大部分借贷业务也是采用这种思路,而且是采用超额抵押的方式。也就是抵押品的价值要大于借贷出去的资产价值,用超过借款金额的抵押资产来规避借款人不偿还贷款的风险。

其实这个机制中还有一个规避借款不还风险的设计,就是能够作为抵押品的资产类别,在数字资产借贷平台,主要指的就是能够用作抵押品的币种类型。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

比如我们知道的三大借贷平台,MakerDao, AAVE,Compound 对用作抵押品的资产都有非常严格的要求,并不是任何币种都可以用来抵押进行借贷的。

只有那些经过市场检验,价值被广泛

任何

,价格不容易贬值,或者价格比较稳定,流动性好,容易变现的优质币种才能担此重任。

因为需要在出现用户不归还借款,或者抵押品价格大幅下跌时能够快速卖出抵押品,用所得的收入来偿还借款,以免存款用户的资产受到损失。

目前MakerDao平台能够用作抵押品的币种为19个,AAVE为20个,Compound为11个。都需要经过社区投票,达成共识,慎重选出来的币种才能进入抵押品清单。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

我们来看一下Venus用作借贷抵押的CAN是个什么样的情况。

下图是项目方 Swipe 6天前在海外媒体Medium上官宣的Cannon 代币 CAN的点火引爆发售(公募)计划。

官宣中提到的一个非常重要的内容就是公募的时间,是2021年1月14号格林尼治时间零点,相当于北京时间早上8点。

也就是说CAN是出事当天才上线的一个新币种,完全不具备我们前面提到的作为抵押品的资产属性,比如经过市场检验,价值被广泛认可,价格稳定或者具有良好升值特性,流动性好变现容易等。

这样性质的资产成为抵押品就为事故的发生埋下了第一个坑。

Venus 1.3亿美金 BTC 超大羊毛是怎么被撸到手的?

导致事故的第二个坑是这个币的经济模式。

上图的官宣英文说明中能看出CAN的分配,发售和释放规则。

总量为10亿个,分两次发售

第一次是之前就已经完成的思慕,数量为8亿个,价格为0.02美金。这一部分的锁仓时间为1年,但是这一年锁仓只是限制出售,却允许CAN立即参与到去中心化金融(DEFI)协议中,也就是说这8亿个CAN可以随时进入DEFI平台参与DEFI活动。

第二次售卖就是14号的公募,数量为1亿个,价格同样是0.02美金。这部分CAN是通过Swipe的钱包进行发售,购买时需要用Swipe的代币SXP进行支付。估计这部分CAN应该是没有锁仓要求,可以直接进行流通的。

从官宣内容看,一共出售的CAN为9亿个,还剩一亿个应该是留在项目方手中。

但是从昨天的电报群聊天记录看到,项目方的财库中拥有的CAN数量为3亿个,也就是说思慕部分中有2亿个是进入了项目方的财库。

可以说允许思慕部分的CAN立即进入DEFI协议参与金融活动是促成这次事故的第二个原因。

在CAN公开发售之后不久,北京时间 8:36 Venus就在推特上发布支持CAN作为抵押资产进行借贷的官宣。推文表示用户可以用CAN来存款和抵押进行借贷,同时还可以赚取挖矿收益。

很显然发售仅仅几十分钟就被列入抵押品清单,这么短时间是不可能经过社区投票和

共识

的,因此这个决定应该是项目方直接作出并立即执行的。

将完全新发的,没有任何流动性,还不具备价值基础的币种列为借贷抵押品是这次事故的第三个原因。

分析到这里,可能大家会问,

Venus作为一个借贷平台为什么会允许一个完全还不具备价值的新币作为抵押品,这不是在为自己挖坑吗?

这就要回到Cannon这个项目,其实它背后的项目方跟Venus的项目方都是同一家公司Swipe 钱包。这是一个做数字资产钱包,以及Visa 借记卡的支付平台,它已经可以支持美元和欧元区的用户用Visa卡自由交易数字货币,并使用Visa卡用数字货币进行消费购物。

只不过 Cannon 做的方向是资产跨链,比如将BTC跨链到BSC链上,或者把以太坊链上的资产桥渡到BSC上来。

上图的官宣文章提到 Cannon 是Ren的一个分叉项目,因此桥接比特币应该是它擅长的业务。 这也说明Cannon是以太坊链上的一个项目,因为Ren是基于以太坊开发的。

这个内容也就回答了为什么Venus能够允许刚刚发行出来的CAN作为借贷平台的抵押品了。

既然CAN是以太坊链上的资产,那么要进入BSC链上参与DEFI活动,必然要通过跨链的方式才能进得来。而我们知道进入BSC链上的CAN多达4.5亿个。

可能我们还得问一个问题,这么大数量的资产,在这么短的时间跨到另一个链上可以这么畅通无阻吗?

实际上,Cannon针对以太坊的去中心化跨链还没有开启,这一点可以从Venus昨天在问题解决之后发布的事件说明公告中看出。

公告陈述了“买家”通过Venus平台撸羊毛的那一段经过。平台将CAN列入抵押清单,但是CAN的去中心化跨链桥还没有修通,因此 Swipe 的OTC平台特意开通了CAN从以太坊去往BSC的通道,来帮助用户把CAN从以太坊链上运输到BSC上。

也就是说“买家”是通过Swipe 的OTC中心化服务将这么多CAN运输到BSC上来的,显然这需要经过Swipe 工作人员的

审核。

能够顺利通过审核,原因是这个“买家”是

Swipe OTC平台的老客户,当然也是CAN 的思慕金主。而且按照Venus的这份公告,这4.5亿CAN都是出自这位老客户,也就是说他一个人就买下了CAN所有资产的45%份额。

这样的经济模式估计会惊呆了所有小伙伴,反正我是被惊呆了。一个人拥有一个项目45%的代币,就算这一次不出事,以后他也完全可以随心所欲地操控CAN的币价啊。

我们说回来,在这位老客户兼CAN的超级大买家将抵押CAN借到的BTC和ETH拿出来,想要提出BSC,转到自己的以太坊和比特币地址的时候,同样是Swipe OTC平台的小伙伴们成功帮他完成的跨链。

也就是说,这一次1亿多美金的羊毛,是 Swipe 自己帮着一个老客户来撸

自己的。

除了上面的这些原因,能够让这位超级羊毛党得手的原因还包括CAN上线之后的价格暴涨。上图是14号从Venus平台截的,显示当天CAN的价格为0.35美金。

而思慕价格是0.02美金,上线就暴涨了17.5倍。相当于羊毛党用了17.5倍杆杠,只花费了17.5/1的本金,就用垃圾币借到一笔巨额的高价值币。

可见Venus平台的借贷参考价格也是有问题的。

还有一个问题,Venus给 CAN设定的借贷系数是60%。而这位老客户转过去的是4.5亿个CAN,按照0.35美金的价格,价值1.575亿美金,如果能够借出来的资产价值比例为60%,那么理论上他能借到0.945亿美金的资产。

也就是他把所有的额度都用来借出BTC和ETH了,而我们从最开始的截图中看到,当天系统中的BTC已经被借空了,ETH也只剩几万美金。可能你也想问

这个平台怎么可能允许一个用户借出这么多的资产,

难度

就没有额度限制吗?

现实中我们可能把银行中所有资产都借出来吗?

很显然,这又是一个漏洞,平台为什么不设定一个借贷上限呢?对某个地址,单个用户,或者对池子中的资金借出比例,这些都应该要考虑一个避免系统被掏空发生暴雷的安全系数,这应该是借贷平台最起码的风险管理机制吧。

以上分析了这么多,应该都是导致这样的事故发生的原因。

我们也从中看出这次事件其实“买家”并没有明显的犯错,只是利用了平台的漏洞而已,但是却因此获得了巨额的不义之财。

事情的结果,我们也都知道了,项目方与这位大买家取得了联系,估计当然也经过了一番长时间的谈判和博弈,最终对方答应把钱归还给平台。

平台随后决定终止了与这位大客户以及他公司的合作关系。

而在之前,项目方已经自己垫付了2000个BTC到平台,供存户们提款之用。

结果还算满意,项目方的态度也很诚恳,处理问题的过程也非常有效率。

最后Swipe 的CEO Joselito L在电报群说:

事情已经解决了,当下我们需要关注的不是事件本身,而是接下来的公告声明,社区治理,SXP(Swipe的代币)销毁, 以及CAN项目的成功。

另外昨天Venus平台的资金量又回升到了2亿美金,相比出事之前的4亿美金,少了一半,影响还不算特别大。

但是币价还是明显受到了比较大的打击,14号直线下跌超过了30%。这两天也一直在3.9到4.5美元之间徘徊。昨天这么好的行情也未能走出来,估计会在这个位置博弈几天时间。

不过这样比较动荡的行情对做短线

到是

挺好的时机,昨天雪儿就做了3次短时间的操作,每次有0.3-0.5美金的差价。

可能最令大家开心的还是接下来的空投一事。

昨天有人问到XRP的3倍奖励事情会怎么处理。

Jose 的回答是这些奖励将会以空投的方法分发出去,

空投的对象是在平台市场的用户,以及购买XVS的用户

(后面这个点不能十分确定,英文表达不够清楚) ,时间是在时机成熟的时候。

数量是12万美金的XVS,按照4美金的价格就是3万枚XVS。

对空投有兴趣的同学可以进一步关注项目方的动态,电报中的聊天信息不够明晰,估计也不够准确。

最后用神鱼的提醒来结尾,提醒的是参与DEFI借贷平台提供存款和流动性的同学:

1. 没有公开治理,没有投票上币做抵押品的不能参与;

2. 对单个币种没有借贷债务上限,或者上限过大,可以借空池子资金的不能参与;

3. 预言机对单点价格操控没有预防措施的不能参与。

补充一下,经过这次事件,Venus已经决定把治理权下放给社区,以后上币的决定权就会由社区投票来控制。

或许这次事件对Venus来说,未必是一件坏事,毕竟从大型事故中得到的成长会更加刻骨铭心;对行业来说,也可能是倒逼技术,治理,包括经济设计等全方位快速进步的一个催化剂。

其实还有一点启示:去中心化和中心化的优势都是相对的,可能我们需要更客观一些来对待这个话题。

在这一次大额资金失而复得的事件中,体现出了中心化机制的优势,比如币安从BSC上追查和干预用户资产(估计最后没有派上用场,因为用户实际上是提币成功了);

也体现出了它的劣势,特别是在巨量CAN过桥时候的审核和操作上,如果不是中心化的OCT,可能用去中心化的跨链,这么多资产是没有那么容易在这么短时间跨过来的,要出去的时候也没有那么容易。

所以中心化也未必都能带来坏的结果,对于有些事情去中心化也未必就是最好的方式。去中心化其实也只是达成目的一种方式而已。

需要进雪儿粉丝群的同学请点击下面的“了解更多”查阅进群方式和说明。

相关推荐